Рекомендация Debian по безопасности

DLA-188-1 arj -- обновление безопасности LTS

Дата сообщения:
08.04.2015
Затронутые пакеты:
arj
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 774015, Ошибка 774434, Ошибка 774435.
В каталоге Mitre CVE: CVE-2015-0556, CVE-2015-0557, CVE-2015-2782.
Более подробная информация:

В arj, версии архиватора arj с открытым исходным кодом, были обнаружены многочисленные уязвимости. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

  • CVE-2015-0556

    Якуб Вилк обнаружил, что arj переходит по символьным ссылкам, создаваемым во время распаковки архива arj. Удалённый злоумышленник может использовать эту уязвимость для выполнения обхода каталога в том случае, если пользователь или автоматизированная система запускает обработку специально сформированного архива arj.

  • CVE-2015-0557

    Якуб Вилк обнаружил, что arj недостаточно защищён от обхода каталога при распаковке архива arj, содержащего пути к файлам, содержащими в начале многочисленные косые черты. Удалённый злоумышленник может использовать эту уязвимость для записи произвольных файлов в том случае, если пользователь или автоматизированная система запускает обработку специально сформированного архива arj.

  • CVE-2015-2782

    Якуб Вилк и Гильом Жовье обнаружили переполнение буфера в arj. Удалённый злоумышленник может использовать данную уязвимость для вызова аварийной остановки приложения или потенциального выполнения произвольного кода с правами пользователя, запустившего arj.